Rosja aresztowała członków REvil

Federalna Służba Bezpieczeństwa Rosji (FSB) aresztowała w piątek kilku członków należących do gangu ransomware REvil.

W ramach operacji, którą – jak podano – przeprowadzono na wniosek władz USA, organ ścigania sprawdził 25 adresów w Moskwie, Petersburgu, obwodzie moskiewskim, leningradzkim i lipickim. Przeszukane nieruchomości należały do 14 podejrzanych członków zorganizowanego syndykatu cyberprzestępczego. FSB podała w oświadczeniu:

W celu realizacji planu przestępczego, osoby te opracowały złośliwe oprogramowanie, zorganizowały kradzież środków z kont bankowych zagranicznych obywateli i ich spieniężenie, w tym poprzez zakup drogich towarów w Internecie.

Ponadto FSB zajęła ponad 426 milionów rubli. W tą kwotę zaliczają się kryptowaluty, 600 tys. USD, 500 tys. euro, a także komputery, portfele kryptowalutowe wykorzystywane do popełniania przestępstw i 20 luksusowych samochodów, które zostały zakupione za pieniądze uzyskane w nielegalny sposób.

Czym jest REvil?

REvil to jedna z najbardziej aktywnych ekip ransomware w zeszłym roku. Odpowiadała ona m.in. za ataki na JBS i Kaseya. Rząd Stanów Zjednoczonych powiedział agencji Reuters, że jedna z aresztowanych osób stała również za atakiem ransomware na Colonial Pipeline. Jest to kolejne potwierdzenie współpracy REvil z inną grupą o nazwie DarkSide.

Grupa ta formalnie zakończyła działalność w październiku 2021 r., po tym jak USA wyłączyło jej serwery w darkwebie. W następnym miesiącu rumuńskie organy ścigania aresztowały dwie osoby za powiązania z REvil. Z kolei Stany Zjednoczone oskarżyły 22-letniego obywatela Ukrainy powiązanego z gangiem ransomware’u o zorganizowanie ataku na firmę Kaseya.

Wszystkim zatrzymanym postawiono zarzut “nielegalnego obrotu środkami płatniczymi”, co jest przestępstwem zagrożonym karą do sześciu lat więzienia. Nie podano nazwisk podejrzanych, ale Reuters odnotował, że moskiewski sąd zidentyfikował dwóch z nich jako Romana Muromskiego i Andrieja Bessonowa.

Do zatrzymania doszło również w momencie, gdy podmioty prawdopodobnie powiązane z rosyjskimi służbami specjalnymi, sparaliżowały większość publicznej infrastruktury cyfrowej ukraińskiego rządu.

Nie wiadomo jeszcze, jaki wpływ aresztowania będą miały na większy ekosystem ransomware, który mimo wielu działań organów ścigania nadal się rozwija. Częściowo dzięki Rosji, która ukrywa cyberprzestępców w kraju. Matt Olney, dyrektor ds. wywiadu i zwalczania zagrożeń w Cisco Talos powiedział:

Chociaż nadal staramy się zrozumieć prawdziwy wpływ tych aresztowań, pochwalamy rząd rosyjski za podjęte dziś działania w odniesieniu do grupy przestępczej zajmującej się oprogramowaniem ransomware REvil. Ważne jest, aby nie pozwolić cyberprzestępcom i organizacjom na bezkarne działanie. I dlatego każdy wynik, który prowadzi do degradacji ich możliwości, jest niewątpliwie dobrą rzeczą.”